カスタムチェーンを含むiptables mangleテーブル

カスタムチェーンを含むiptables mangleテーブル

マングルテーブルに新しいチェーンを作りました。

$IPTABLES -N newchain -t mangle

その後、80個のポートパケットをすべてこの新しいチェーンに入れました。

$IPTABLES -t mangle -A PREROUTING -i eth1 -p tcp --dport 80 -j newchain

その後、私はそのチェーンのパケットをマークしました。

$IPTABLES -t mangle -A newchain -j MARK --set-mark 11

最後に11とマークされたパケットをどのように解析しますか?

$IPTABLES -t nat -A PREROUTING -m mark --mark 11 -p tcp --dport 80 -j DNAT --to-destination 172.32.1.2

動作しません。 mangle>のnewchain以降、パケットはFORWARDでフィルタリングされますが、natではフィルタリングされません。

答え1

パスを決定した後、NATを適用します。したがって、POSTROUTINGテーブルを使用する必要があります。

$IPTABLES -t nat -A POSTROUTING -m mark --mark 11 -p tcp --dport 80 -j DNAT --to-destination 172.32.1.2

私はすでにその基準に基づいてタグ付けしていますが、なぜtcp / 80の資格を維持する必要があるのか​​わかりません。

$IPTABLES -t nat -A POSTROUTING -m mark --mark 11 -j DNAT --to-destination 172.32.1.2

関連情報